Ransomware alert! Jigsaw: il malware che cancella i tuoi dati in maniera esponenziale!

Negli ultimi giorni è stato rilasciato un ransomware che non solo cripta i file dell’utente, ma elimina progressivamente i dati presenti sul computer, se la ricompensa non viene pagata velocemente. Il compenso varia da un minimo di 20 $ ad un massimo di 150 $, da versare in moneta Bitcoin. Il ransomware è stato chiamato jigsaw (enigmista), perché Billy, la marionetta del celebre film “SAW: L’enigmista”, appare nella richiesta di riscatto. 

Viene scaricato soprattutto da una servizio di cloud storage gratuito chiamato 1fichier[.]com, anche se i gestori del sito hanno affermato che gli URL malevoli sono già stati rimossi, e dal sito hxxp://waldorftrust[.]com. Altri possibili vettori di infezioni sono siti per adulti, adware ed altri tipi di PUA (potentially unwanted application). 

La minaccia Jigsaw

Esistono molti ransomware che minacciano la cancellazione dei file, ma solitamente si limitano a spaventare l’utente. Jigsaw è il primo ransomware che dopo aver creato una copia dei file criptata in estensioni .FUN o KKK, .BTC e .GWS, elimina gli originali. Cripta praticamente ogni tipo dei file più diffusi.

Quando cripta i file, aggiunge il nome del file in una lista di file criptati che si trova in %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt.
Inoltre assegna un indirizzo bitcoin e lo salva in
%UserProfile%\AppData\Roaming\System32Work\Address.txt file.

Il messaggio di riscatto: 
Il messaggio di riscatto, in due versioni (inglese e portoghese), introduce il concetto di crescita esponenziale: ogni ora aumenta non solo il numero dei file che viene cancellato, ma aumenta anche l'ammontare del riscatto.

La finestra del ransomware afferma che, dopo l’infezione iniziale, se venisse chiuso o riavviato per qualsiasi motivo il PC,il virus eliminerà un migliaio di file senza possibilità di recupero.

Questo meccanismo è ovviamente un escamotage per spingere la vittima a pagare il “riscatto” 

La maggior parte degli antivirus riesce ad individuare il Jigsaw; il consiglio comunque, con questo come con altri ransomware è quello di aggiornare spesso sia il sistema operativo che l’antivirus ed effettuare i backup spesso, conservando i file più importanti in supporti esterni disconnessi dalla macchina.

Il sito bleepingcomputer riporta, in questo post, una possibile soluzione, ma non abbiamo nessuna certezza del fatto che sia effettivamente un metodo risolutivo.